やじうまの杜
ロシア語環境を回避、イスラエル・イランなら確率1/6でシステム削除を試みるマルウェアが話題に
『ロシア語の言語パックをいれとけば回避できるんじゃね?』
2026年5月19日 06:45
「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
Microsoftのセキュリティ知見分析組織「Microsoft Threat Intelligence」の「X」(Twitter)アカウントによると、「mistralai」と呼ばれる「PyPI」パッケージのv2.4.6が改竄されており、パッケージをインポートする際に認証情報を窃取するタイプのマルウェアを勝手に外部からダウンロードする攻撃が仕掛けられているとのこと。広く利用されているHugging Faceの「Transformers」ライブラリを模しており、見つからないようにLinuxデバイスの機械学習(ML)開発環境へ身を隠すのだとか。
Microsoft is investigating mistralai PyPI package v2.4.6 compromise. Attackers injected code in mistralai/client/__init__.py that executes on import, downloads hxxps://83[.]142[.]209[.]194/transformers.pyz to /tmp/transformers.pyz, and launches a second-stage payload on Linux.…pic.twitter.com/9Xfb07Hcia
— Microsoft Threat Intelligence (@MsftSecIntel)May 12, 2026
今回このマルウェアを取り上げたのは、これがちょっと興味深い性質を持つためです。作ったのはどうもロシアのハッカーのようで、国判別ロジックでロシア語環境と判定されれば攻撃を中止します。
また、システムがイスラエルまたはイランにあると判断された場合、6分の1の確率で恐怖の削除コマンド「rm -rf /」を実行し、システムごと自壊を試みるとのこと。
これまでも、『仮想環境で泳がされていることを検知すると活動を停止して見つからないようにする』タイプのマルウェアはありましたが……なんかあからさまですネ。
「Microsoft Threat Intelligence」は、このマルウェアに感染したら当該Linuxホストを隔離し、ペイロード(マルウェア)のダウンロード先IPアドレスをブロックするとともに、感染が疑わしいファイルをスキャンするように勧めています。しかし、なかには 『ロシア語の言語パックをいれとけば回避できるんじゃね?』 なんていう人も。
今後、こういうマルウェアが蔓延すれば、みんな対策としてロシア語パックを入れるようになる……のかもしれません。
